Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Ahoj. Potřeboval bych povolit všechen provoz který směřuje na port 4430 routeru zvenčí. V tabulce nat provádím prerouting z portu 4430 na jinou IP adresu a port 443. Jenže port 4430 v tabulce filter a chainu FORWARD kontrolovat nemohu, protože ho mezitím prerouting přeložilo. Mohu jen kontrolovat cílovou ip a výsledný přeložený port. Lze nějakým způsobem kontrolovat tok paketů které jdou přímo na port 4430 bez ohledu na co se to přeloží?

Odpovědi

25.3.2011 10:35 NN
Rozbalit Rozbalit vše Re: Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Pred preroutingem je jeste probehne mangle, jestli to pomuze, takze nastrelim neco jako:

iptables -t mangle -A prerouting -s $IP --dport 4430 -j LOG

Co myslis tou kontrolou ?

25.3.2011 11:03 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Použijte v PREROUTING cíl MARK, ve FORWARDu pak odpovídající pakety poznáte pomocí --mark z modulu mark.

25.3.2011 11:17 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Proč nemůžete v chainu FORWARD zapsat pravidlo s už přeloženou adresou a portem?

25.3.2011 11:36 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Předpokládám, že chce odlišit provoz, který z venčí přišel na port 4430, od toho, který přišel na 443.

25.3.2011 11:43 italek
Rozbalit Rozbalit vše Re: Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Přesně. Ten mark vypadá dobře, díky.

Dotaz: Iptables - PREROUTING a kontrola dnatu ve FORWARD chainu

Odpovědi